Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

8.

Europa

8.1

EU-Datenschutzrichtlinie

Nach langjährigen Verhandlungen ist 1995 die Europäische Datenschutzrichtlinie verabschiedet worden. Sie wird Auswirkungen vor allem auf die Zulässigkeit der Datenverarbeitung durch Private und auf Datenübermittlungen in Staaten außerhalb der EU haben.

Die EU-Datenschutzrichtlinie schafft ein einheitlich hohes Datenschutzniveau innerhalb der Europäischen Union. Mit diesem Schutzzweck für den einzelnen wird aber auch gleichzeitig das Ziel eines freien Datenverkehrs innerhalb der EU verbunden. Die Richtlinie erkennt allerdings an, daß es auch weiterhin datenschutzrechtliche Regelungsunterschiede innerhalb der Gemeinschaft geben kann, auch wenn sie sich auf den Datenverkehr zwischen den Mitgliedstaaten auswirken: Sie bietet den Mitgliedstaaten an verschiedenen Stellen Regelungsvarianten an, die im Ergebnis, nicht jedoch in ihren Mitteln ein gleiches Schutzniveau gewährleisten sollen. Darüber hinaus fordert die Richtlinie die Mitgliedstaaten auf, ihren Umsetzungsspielraum zu einer Verbesserung ihres gegenwärtigen Datenschutzniveaus zu nutzen. Die Umsetzung der EU-Richtlinie sollte deshalb als Chance zur Anpassung des deutschen Datenschutzrechts an die technische Fortentwicklung und die gesellschaftlichen Probleme der modernen Datenverarbeitung genutzt werden.

• Anders als bislang das deutsche Datenschutzrecht unterscheidet die EU-Richtlinie nicht zwischen der Datenverarbeitung durch öffentliche Stellen und durch Private. Angesichts der wachsenden Bedeutung privater Datenverarbeitung ist es längst überfällig, daß künftig auch für diesen Bereich strengere datenschutzrechtliche Voraussetzungen wie die Zweckbindung der Daten und die Erforderlichkeit der Datenverarbeitung gelten werden.

• Besonders strenge Voraussetzungen werden an die Verarbeitung von hochsensiblen personenbezogenen Daten wie ethnische Herkunft, weltanschauliche und politische Überzeugung, Gesundheit und Sexualleben gestellt. Beispielsweise ist eine Verarbeitung von Gesundheitsdaten nur durch Personen zulässig, die dem ärztlichen Berufsgeheimnis unterliegen.

• Die Richtlinie verbietet es, daß bewertende Einzelentscheidungen zu einer Person ohne deren Anhörung allein auf der Grundlage einer automatisierten Datenverarbeitung ergehen.

• Datenverarbeitungen, die spezifische Risiken für das Persönlichkeitsrecht aufweisen, müssen vorab eine interne oder externe datenschutzrechtliche Kontrolle durchlaufen.

• Neben dem Recht auf Auskunft über seine Daten hat der Betroffene grundsätzlich das Recht, aufgrund besonderer Umstände einer Datenverarbeitung zu widersprechen.

• Personenbezogene Daten dürfen nur in solche Drittstaaten außerhalb der EU übermittelt werden, die ein "angemessenes Schutzniveau" gewährleisten. Im Wege der gegenseitigen Konsultation und über ein Ausschußverfahren verständigen sich die Mitgliedstaaten darüber, bei welchen Drittstaaten diese Voraussetzung vorliegt. Ausnahmen läßt die Richtlinie allerdings zu, wenn beispielsweise vertraglich ausreichende Datenschutzgarantien zugesichert werden.

• Die Mitgliedstaaten haben die Möglichkeit, Ausnahmen von der Pflicht zur Meldung von Datenverarbeitungen gegenüber einer öffentlichen Kontrollstelle vorzusehen, wenn innerhalb der öffentlichen oder privaten datenverarbeitenden Stelle eine unabhängige Überwachung durch einen Datenschutzbeauftragten stattfindet. Neben dem betrieblichen Datenschutzbeauftragten nach dem Bundesdatenschutzgesetz könnte hierdurch die Institution eines behördlichen Datenschutzbeauftragten ausgebaut werden.

• Die öffentlichen Datenschutzkontrollinstitutionen sollen ihre Aufgaben in "völliger Unabhängigkeit" und auch im privaten Bereich anlaßunabhängig wahrnehmen. Als wirksame Instrumente zur Durchsetzung des Datenschutzrechts sieht die Richtlinie u.a. die Möglichkeit unmittelbarer Anordnungsbefugnisse, eines Klagerechts und Anzeigebefugnisse bei datenschutzrechtlichen Verstößen vor.

Insgesamt bietet die allgemeine Datenschutzrichtlinie der EU durch ihr beachtliches Schutzniveau und durch ihre flexible Regelungstechnik eine gute Grundlage für die Modernisierung des deutschen Landes- und Bundesdatenschutzrechts. Sie bekräftigt den Anspruch, daß eine europäische, ja eine weltweite Informationsgesellschaft mit entsprechenden, der Datenverarbeitungstechnik angemessenen Sicherungen des Persönlichkeitsrechts einhergehen muß. Die bereichsspezifische Verwirklichung dieses Anspruchs bleibt allerdings auf Ebene der Europäischen Union weiterhin eine wesentliche Herausforderung. Die EU-Richtlinie ist innerhalb von drei Jahren in innerstaatliches Recht umzusetzen.

8.2

Entwurf einer Telekommunikationsrichtlinie

Auch im vergangenen Jahr hat es keine Einigung über den Vorschlag einer EU-Richtlinie zum Datenschutz in digitalen Telekommunikationsnetzen gegeben. Statt dessen wurden jedoch Regelungen zur Öffnung der Sprachtelefondienstnetze vorangetrieben, die ihrerseits keine datenschutzrechtlichen Bestimmungen enthalten.

Bis zum 01.01.1998 sollen die Telekommunikationsdienste und - infrastruktur innerhalb der Europäischen Union für den Wettbewerb geöffnet werden (vgl. auch Tz. 7.2). In Vorbereitung auf diese Liberalisierung hat die Europäische Kommission 1995 Richtlinienvorschläge zur Gewährleistung eines offenen Netzzugangs in der Telekommunikation vorgelegt. Darin werden die Anforderungen an die Bereitstellung von Telekommunikationsdiensten, an die Nutzung von Netzen und deren Zusammenschaltung geregelt, um eine Interoperabilität der Dienste und eine weitgehende Netzsicherheit zu gewährleisten. Einheitliche Bedingungen für den Wettbewerb auf dem europaweiten Markt für Telekommunikationsgeräte und -dienste setzen aus unserer Sicht aber auch eine europaweite Gewährleistung des informationellen Selbstbestimmungsrechts in der Telekommunikation voraus. Hierzu verweisen die genannten Regelungsvorschläge jedoch lediglich auf anderweitige Rechtsvorschriften über den Datenschutz.

Andererseits wurde das Vorhaben der EU, eine Richtlinie über den Datenschutz in digitalen Telekommunikationsnetzen (insbesondere ISDN) zu verabschieden, im letzten Jahr zurückgestellt, während die Vorhaben zur Liberalisierung der Telekommunikationsdienste und ­netze mit erkennbarer Priorität vorangetrieben wurden. Es droht daher eine Schieflage, wenn durch die Liberalisierung der Telekommunikation die entscheidenden Planungen und Investitionen der betreffenden Marktteilnehmer bereits festgelegt werden, bevor die entsprechenden europaweiten, für alle Wettbewerber verbindlichen Datenschutzregeln in der Telekommunikation bekannt sind. Die europäischen Datenschutzbeauftragten haben daher für eine inhaltliche Harmonisierung und eine parallele Beratung der verschiedenen Richtlinienvorhaben im Telekommunikationsbereich plädiert.

Die spanische Präsidentschaft legte im November 1995 einen im wesentlichen redaktionell, nur an wenigen Stellen inhaltlich geänderten Entwurf der Telekommunikationsrichtlinie vor. Es bleibt demnach bei der in unserem letzten Tätigkeitsbericht (17. TB, Tz. 7.1) dargestellten Forderung nach einer raschen Verabschiedung einer europäischen Telekommunikations-Datenschutzrichtlinie auf hohem Schutzniveau.

8.3

Vorbereitung auf Maastricht II

Bei der 1996 stattfindenden Regierungskonferenz zur Revision der Europäischen Unions- und Gemeinschaftsverträge muß auch der Datenschutz berücksichtigt werden. Die europäischen Datenschutzbeauftragten haben hierfür eine Reihe von Vorschlägen formuliert.

Obwohl in der Arbeit der EU personenbezogene Daten in beträchtlichem Ausmaß entstehen (z.B. in der Statistik, Agrar- oder Zollverwaltung) und die EU Entwicklungen zum Ausbau internationaler Kommunikationsnetze und von Informationstechnologien vorantreibt, fehlt in den EU-Verträgen ein ausdrücklicher Hinweis auf den Datenschutz. Angesichts der hohen wirtschaftlichen und gesellschaftlichen Bedeutung, die der Weiterentwicklung von Informations- und Kommunikationstechnologien durch Mitgliedstaaten und Organe der EU selbst beigemessen wird, ist es höchste Zeit, diese Lücke zu schließen. Die Datenschutzbeauftragten des Bundes und der Länder und die europäischen Datenschutzbeauftragten haben Ende 1995 jeweils gemeinsame Entschließungen gefaßt, um eine Berücksichtigung des Datenschutzes bei der Vertragsrevisionskonferenz 1996 ("Maastricht II") zu erreichen:

• Im Rahmen eines Grundrechtskataloges des EU-Vertrages sollte ein für den einzelnen einklagbares, ausdrückliches Recht auf Datenschutz verankert werden, das für die Organe der Union und für die Mitgliedstaaten, soweit sie Gemeinschaftsrecht ausführen, einen einheitlichen Maßstab für die Beachtung der Persönlichkeitsrechte auf hohem Schutzniveau garantiert. Für den Bürger ergäbe sich eine gerichtlich durchsetzbare Garantie für die Beachtung seiner Privatsphäre auch in einer multimedialen Informationsgesellschaft. Damit wäre im übrigen eine datenschutzrechtliche Gleichstellung der europäischen Wettbewerber erreicht.

• Unabhängig hiervon müssen rechtsverbindliche Datenschutzregelungen für die Organe und Einrichtungen der EU geschaffen werden, wie dies bereits ein inzwischen nicht weiterverfolgter Vorschlag der Europäischen Kommission von 1990 vorsah.

• Die Verträge müssen eine unabhängige europäische Datenschutzkontrollinstanz vorsehen, an die sich einzelne Bürger wenden können, die aber auch anlaßunabhängige Prüfrechte, Beratungs- und Beteiligungskompetenzen hat.

Nur durch eine vertragliche Gewährleistung kann erreicht werden, daß künftig in den unterschiedlichen Bereichen der EU (z.B. Telekommunikation, Forschungsförderung, Inneres und Justiz, Arbeitnehmerrechte) ausreichende bereichsspezifische Datenschutzregelungen getroffen werden. In einem weiter zusammenwachsenden Europa ist es schließlich von großer Bedeutung, daß alle Mitgliedstaaten, auch wenn sie bisher kaum Datenschutzregelungen kannten, die Persönlichkeitsrechte beachten.